“MS윈도우 취약점을 통해 빠르게 확산되고 있어”
하우리(대표 김희천 http://www.hauri.co.kr/)는 ‘2090 바이러스’가 MS윈도우 취약점을 통해 빠르게 확산되고 있어, PC 사용자의 각별한 주의가 요구된다고 11일 경고했다.

‘2090 바이러스’로 알려진 이 악성코드에 감염되면 윈도우 시스템 시간이 ‘2090년 1월 1일 오전 10시’로 나타나는 증상을 발견할 수 있다. 하우리 진단명은 ‘Trojan.Win32.Crypt.15872.B’이다.

이 바이러스는 윈도우 시스템 폴더(c:\WinNT\system32 또는 c:\Windows\system32) 안에 system.exe파일을 생성하여 실행된다.

악성코드가 실행되면 ‘81714.sys’, ‘107.exe’, ‘5684333’처럼 파일명이 숫자로만 이루어져 있고, 확장자는 없거나 exe, sys 등으로 구성된 파일들을 랜덤하게 생성한다.

감염시스템에서 악성코드의 생성과 실행 과정에서 메모리를 과다하게 사용하여 시스템이 다운되도록 만든다. 악성코드에 감염되면 userinit 레지스트리에 추가 등록되기 때문에 재부팅 후에도 실행되도록 되어있다.

시스템 날짜가 2090년 1월 1일로 변경된 시스템이 다운된 후 감염됨 PC를 재부팅하면 사용자 계정에 로그인 시 자동으로 로그아웃되어 정상적인 시스템을 사용할 수 없게 된다.
 

▲ 2090 바이러스 감염 후 임시 폴더에 생성된 악성코드 화면(숫자 5글자.sys).

 

▲ 2090 바이러스 감염 후 시스템 폴더에 생성된 악성코드 화면(숫자 7글자-확장자 없음, 숫자 3글자.exe).

 
현재 이 바이러스는 MS08-067취약점을 이용하여 TCP 445 포트를 스캔하여 대상 시스템에 취약점이 존재하면 익스플로잇 코드를 전송하여 전파시킨다. 또한 빠른 확산을 위해 이동식 디스크로 전파될 수 있도록 Autorun.inf 파일과 explorer.exe를 생성하며 네트워크로 공유된 공유폴더로도 확산이 가능하다.

그 뿐 아니라 이 바이러스는 동일 네트워크에 존재하는 컴퓨터에 Ping을 보내고, 445포트를 이용한 취약점 스캔을 하기 때문에 네트워크에 과부하를 초래한다.

이에 황재훈 하우리 보안대응센터 바이러스팀 선임연구원은 “일반 사용자의 경우 시스템 날짜를 먼저 확인하고, 바이로봇 최신 엔진 업데이트 버전을 유지해야 하며, 기업 고객의 경우에는 전파되는 것을 막기 위하여 감염된 PC의 네트워크를 차단한 후, 전용백신을 설치하여 PC를 치료한 다음 네트워크에 연결하는 것이 바람직하다”고 권고했다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>